« Les certificats et les clés cryptographiques permettent de gérer les accès et l’identité des devices, au même titre que le nom d’utilisateur et le mot de passe le sont pour les individus », souligne Kévin Bocek, Vice-Président stratégie de sécurité et veille des menaces chez Venafi. « Les certificats permettent aux machines de communiquer en toute sécurité ce qui les rend essentiels bien que sous-estimés. Ils font partis de l’écosystème numérique de chaque organisation ainsi que de notre économie digitale mondiale. Lorsque les certificats expirent brusquement, des services essentiels peuvent être impactés. Malheureusement, beaucoup d’entreprises n’ont ni la visibilité ni les outils nécessaires à la gestion de ces éléments fondamentaux pour la sécurité informatique, et ne disposent pas non plus d’un système opérationnel efficace »

Principales conclusions de cette étude :

• La majorité des personnes interrogées (79%) a déclaré avoir eu au moins une panne liée aux certificats en 2016 (Pour la France, le chiffre est de 81% )

• Plus d’une entreprise sur trois (38%) a souffert de plus de 6 pannes liées aux certificats en 2016. (Pour la France, le chiffre est de 36%)

• 4% des personnes interrogées déclarent que leur entreprise ont subi de plus de 100 pannes liées aux certificats (Pour la France, le chiffre est de 9%)

• Près des 2/3 (64%) ont affirmé que leur entreprise n’était pas en mesure de répondre en moins de 6 heures à un problème de sécurité lié aux certificats. (Pour la France, le chiffre est de 53%)

Alors que l’utilisation du chiffrement explose, les enjeux liés à la gestion efficace des clés et des certificats se sont multipliés. Des recherches récentes ont montré la croissance spectaculaire de l’utilisation des clés et certificats, et plus spécifiquement au sein des grandes organisations.

L’augmentation de l’utilisation de certificats peut principalement s’expliquer par l’explosion du nombre d’IP qui permet au réseau d’une entreprise de fonctionner. Un autre défi auquel doivent faire face les entreprises, est l’adoption du DevOps et du Fast IT, qui a considérablement augmenté les besoins en certificats. Cette hausse des certificats et des clés aggrave la vulnérabilité de la sécurité ainsi que leur mauvaise gestion.

Beaucoup d’entreprises ne sont pas encore conscientes de l’ampleur de ce problème. Les données clients de Venafi montrent que les entreprises ont en moyenne trouvé plus de 16.500 clés et certificats inconnus grâce aux solutions Venafi. De plus, la nouvelle étude souligne que la plupart des entreprises n’a aucun contrôle sur l’inventaire de leurs clés et certificats, qu’elles n’ont aucun processus automatique pour les renouveler et n’ont aucune archive centralisée pour connaître les dates d’expiration :

• Près des deux tiers des entreprises (65%) ne centralisent pas la totalité de la gestion de leurs clés et certificats. (Pour la France, le chiffre est de 64% )

• Parmi ceux qui gèrent leurs certificats de manière centralisée, 65% s’appuie sur des contrôles de sécurité provenant de leur propre Autorité de Certification (AC), ce qui limite leur connaissance aux seuls certificats délivrés par cette AC. (Pour la France, le chiffre est de 71%)

« La bonne nouvelle est qu’il est possible de prévenir les problèmes liés aux certificats, mais chacun doit comprendre l’échelle et l’étendue du problème », poursuit Kevin Bocek. « Comme nous utilisons beaucoup plus de services « Cloud » , d’objets connectés ou encore le DevOps, l’usage des certificats automatiques explose. Pour faire face à ce problème grandissant, les entreprises doivent automatiser la détection, l’émission, la durée de vie et la réhabilitation de toutes les clés et certificats depuis le centre de données en passant par le « Cloud » jusqu’aux équipements en bout de réseaux. En cas d’échec, cela mettrait en péril la fiabilité et l’accessibilité à des services essentiels et cela augmenterait terriblement les risques de sécurité informatique »

(1) L’étude a été réalisée par Dimensional Research auprès d’un panel de 505 professionnels IT, responsables des questions de chiffrement à travers les EU, UK, France et Allemagne.